Diferència entre revisions de la pàgina «Auditoria a un Prestashop»

De Wiket
Salta a la navegació Salta a la cerca
 
(159 revisions intermèdies per 2 usuaris que no es mostren)
Línia 1: Línia 1:
Proyecto realizado por Luis Andres Ascoy Ramirez y Eric Repullo Baget
+
==¿Quiénes somos?==
==Introducción==
+
Este proyecto ha sido realizado por Luis Andres Ascoy Ramirez y Eric Repullo Baget, estudiantes de SIS2 del Institut Esteve Terradas i Illa.
Este proyecto consiste en hacer una auditoria a Puchito.ml (Prestashop) que hemos instalado y configurado para recrear una tienda virtual. Para ello, hemos realizado diferentes ataques al Prestashop, a la base de datos y al Apache2 para ver la vulnerabilidades que tiene cada uno de ellos para poder evaluarlas y, posteriormente, entrar y extraer la mayor información posible. Para realizar este proyecto, nos hemos basado en ataques para las siguientes versiones:
+
 
 +
==¿De que trata nuestro proyecto?==
 +
Nuestro proyecto se basa en realizar diferentes ataques a un Prestashop, a la base de datos y al Apache2 y ver que tipo de información podemos sacar. En este proyecto, lo que hemos hecho es recrear una tienda virtual, como si existiera realmente; realizar todo tipo de ataques y ver que podemos sacar de estos ataques, como credenciales de usuarios, entrar en el administrador tanto del Prestashop como de la base de datos, etc.  
 +
 
 +
==¿Que hemos utilizado para realizar el proyecto?==
 
<ul>
 
<ul>
<li type="circle">Prestashop: 1.7.1.0</li>
+
<li>Prestashop</li>
<li type="circle">PHP: 5.6</li>
+
<li>Apache2</li>
<li type="circle">Apache2: 2.4.29</li>
+
<li>MySQL</li>
<li type="circle">MySQL: 5.7.26</li>
+
<li>PHP</li>
 +
<li>Ubuntu 18.04</li>
 +
<li>Kali</li>
 +
<li>Windows 10</li>
 +
<li>Router</li>
 
</ul>
 
</ul>
==Ataques realizados==
 
===Ingeniería Social===
 
===Ataque de directorios===
 
====Dirbuster====
 
====Nikto====
 
===MITM===
 
====DNS spoofing====
 
===Driftnet===
 
====Websploit====
 
===Ataque de diccionarios===
 
===OWASP===
 
====Cross Site Scripting (XSS)====
 
====Ataque de diccionarios(2)====
 
===Nessus===
 
===Foca===
 
===Ataque DDoS===
 
====Metasploit Framework====
 
====Slowloris====
 
===Phishing===
 
El phishing es un método de ciberataque que sirve para engañar a los usuarios y conseguir información personal, como contraseñas, correos, datos personales, tarjetas de crédito, cuentas bancarias y demás. Esto se hace mediante el envió de un correo fraudulento. Este, le envía hacia un sitio web falso que suplanta una parte de la web principal, donde el usuario tiene que logearse o poner otro tipo de datos. Entonces, cuando acaba de poner sus datos, la web se recarga y redirecciona al usuario a la web principal, pero en ese mismo momento el atacante ya ha recogido los datos que ha introducido la victima haciéndose, de esta manera, con los datos personales para hacer con ellos lo que el atacante quiera.
 
 
Nosotros, para realizar este ataque, como anteriormente, ya hemos obtenido las credenciales de la victima, le enviamos un correo, en el cual le haremos creer que hay un descuento en la tienda  y para obtener dicho descuento tendría que entrar el momento si quiere disfrutar de él. Pero, antes de enviar el correo a la victima, crearemos un dominio falso en el cual el usuario tenga que poner su correo y su contraseña para obtenerlas y poder entrar con su usuario. Para hacer este paso, en nuestro caso en la Kali que es donde vamos a capturar los datos del usuario, tendremos que crear un archivo dentro de la carpeta /etc/apache2/sites-available en el cual le tendremos que configurar la web falsa la cual entrará la victima.
 
  
[[file:puchiito.conf.png]]
+
==Problemas que hemos tenido==
 +
El principal problema que hemos tenido nosotros es el cambio de proyecto en la primera semana. Nosotros teníamos la idea de realizar una auditoria al departamento de informática pero a nivel de routers y switches. Pero, el problema que tuvimos es que si realizábamos algún ataque o hacíamos algo podríamos provocar algún problema y dejar al instituto sin Internet. Por eso cambiamos de tema en el proyecto. 
 +
 
 +
==Conclusión==
 +
Con este proyecto, hemos aprendido ha realizar ataques que hemos hecho durante el curso en diferentes módulos, además de conocer otros recursos u otras herramientas nuevas que nos han servido para ver algunas de las partes del Prestashop, BBDD o Apache2 que no conocíamos. Otra cosa que hemos aprendido es que la parte más vulnerable para realizar un ataque es la parte humana (<b>ingeniería social</b>) que con tan solo un click puedes sacar mucha información. A parte, nos hubiera gustado hacer el ataque Remote Code Execution. Este ataque consiste en la capacidad que tiene un atacante para acceder al dispositivo informático de otra persona y realizar cambios, sin importar dónde esté ubicado geográficamente el dispositivo. Pero, por falta de tiempo no hemos podido realizar.
 +
 
 +
==Documentación del proyecto==
 +
*[[Auditoria a un Prestashop - Manual técnico]]
 +
*[https://drive.google.com/file/d/1glwA38Y6hn1ftTqat8HnzxEYyIlNQSHj/view?usp=sharing Descargar Power Point de la presentación del proyecto final.]

Revisió de 21:29, 26 maig 2019

¿Quiénes somos?

Este proyecto ha sido realizado por Luis Andres Ascoy Ramirez y Eric Repullo Baget, estudiantes de SIS2 del Institut Esteve Terradas i Illa.

¿De que trata nuestro proyecto?

Nuestro proyecto se basa en realizar diferentes ataques a un Prestashop, a la base de datos y al Apache2 y ver que tipo de información podemos sacar. En este proyecto, lo que hemos hecho es recrear una tienda virtual, como si existiera realmente; realizar todo tipo de ataques y ver que podemos sacar de estos ataques, como credenciales de usuarios, entrar en el administrador tanto del Prestashop como de la base de datos, etc.

¿Que hemos utilizado para realizar el proyecto?

  • Prestashop
  • Apache2
  • MySQL
  • PHP
  • Ubuntu 18.04
  • Kali
  • Windows 10
  • Router

Problemas que hemos tenido

El principal problema que hemos tenido nosotros es el cambio de proyecto en la primera semana. Nosotros teníamos la idea de realizar una auditoria al departamento de informática pero a nivel de routers y switches. Pero, el problema que tuvimos es que si realizábamos algún ataque o hacíamos algo podríamos provocar algún problema y dejar al instituto sin Internet. Por eso cambiamos de tema en el proyecto.

Conclusión

Con este proyecto, hemos aprendido ha realizar ataques que hemos hecho durante el curso en diferentes módulos, además de conocer otros recursos u otras herramientas nuevas que nos han servido para ver algunas de las partes del Prestashop, BBDD o Apache2 que no conocíamos. Otra cosa que hemos aprendido es que la parte más vulnerable para realizar un ataque es la parte humana (ingeniería social) que con tan solo un click puedes sacar mucha información. A parte, nos hubiera gustado hacer el ataque Remote Code Execution. Este ataque consiste en la capacidad que tiene un atacante para acceder al dispositivo informático de otra persona y realizar cambios, sin importar dónde esté ubicado geográficamente el dispositivo. Pero, por falta de tiempo no hemos podido realizar.

Documentación del proyecto